Étude de cas de sécurité : le logiciel piégé

Connaissez-vous le B6Z ?

Non ? Moi non plus jusqu’à récemment.

Kézaco ?

Selon ce site : https://fileinfo.com/extension/b6z

Le B6Z serait un format de compression basé sur l’algorithme LZMA2 et supporterait le chiffrement A-256. Il serait généré sur macOS par le logiciel B6zip, sous licence GPL 2 et serait développé par un certain Mark Adler.

Le fameux logiciel se trouve ici : http://b6zip.com

ATTENTION avant de télécharger et d’installer. Lisez la suite.  

Parce que voilà, le b6z ça n’existe pas, ce logiciel ne compresse rien et Mark Adler, le créateur du format GZIP, un des pères du PNG, n’a strictement rien à voir avec ça.



Mais alors c’est quoi ce truc ?

Comme le grand blond avec un chaussure noire, c’est un piège à cons.

Téléchargeons prudemment ce truc. Qu’obtenons-nous ? Un pkg.

Déjà, vous devez tiquer : un pkg ? pour un simple logiciel de compression ? Voilà qui n’est pas habituel.  

Qui dit pkg, dit demande de mot de passe administrateur. Qui saisit son mot de passe administrateur ouvre toutes grandes les portes de son système.

Première chose à faire dans ce cas : vérifier ce que fait ce pkg à l’installation. Pour cela : SuspiciousPackage. Si vous n’avez pas déjà installé cet excellent logiciel, faites-le.

Que nous dit Suspicious ? Que ce pkg installe un application B6Zip.app dans /Applications

Ok. Mais, pourquoi un pkg ? Un simple glisser/déposer aurait suffit.  

La réponse est dans le script de préinstallation : un beau crontab qui pointe vers une adresse internet. Si vous installez B6Zip en lançant le pkg et le programme d’installation ce truc communiquera dans votre dos à l’adresse indiquée. Mieux, il installe un script qui va régulièrement communiquer avec cette adresse.

Un domaine bien connu pour l’hébergement de la délinquance numérique : https://blog.malwarebytes.com/detections/publicvm-com/


Voilà comment on peut installer des chevaux de Troie sans y penser. À l’insu de son plein gré, comme disait un coureur cycliste. Et à la barbe des anti-virus. Même Gatekeeper ne bronche pas puisque le machin dispose d’un certificat développeur enregistré. Seul LittleSnitch signalera la tentative de connexion.

Et l’application alors, le b6z, qu’en est-il ?

Et bien, si vous démontez un peu le truc vous vous apercevrez que ce B6Zip n’est en faite qu’une vieille version de The Unarchiver re-compilée à partir des sources disponibles en libre service.

Il ne risque pas de compresser quoique ce soit puisque The Unarchiver n’est qu’un décompresseur.  

Bref, le site ment. Les autres sites qui en parlent mentent aussi.

Même la vidéo de démonstration sur YouTube est un fake : https://www.youtube.com/watch?v=L0BxMiwQeX0


Conclusion de l’affaire :

Ne faites jamais confiance à priori à un logiciel qui se présente sous la forme d’un pkg, surtout si ce que fait ce pkg peut s’effectuer par simple glisser/déposer.

À tout instant, soyez soupçonneux, cultivez votre méfiance. Le genre humain est mauvais pas nature. Tout ce qui provient d’internet est susceptible de vous nuire.

Des outils pour vous aider : SuspiciousPackage ; LittleSnitch (ou équivalent) ; et surtout votre cerveau.


Nota : si vous avez par inadvertance installé ce malotru. Dans le Terminal : sudo crontab -r tuera le processus.

Merci pour l'info et, surtout, pour le dépiotage du piège à cons.

Brrrr…